최대 불법 해킹 암시장 '브리치포럼스' 부활
불법으로 데이터를 사고파는 사이버 범죄자들 사이에 가장 인기있는 대규모 불법 다크웹인 '브리치포럼스(BreachForums)'가 지난달 10일부터 정상 운영되고 있는 것으로 확인됐다. '브리치포럼스'는 다크웹 내에서 불법으로 해킹 정보를 거래하는 커뮤니티이자 암시장이다. 4일 본지 취재결과, 브리치포럼스 운영자로 보이는 '할로우(Hollow)'라는 닉네임의 해커는 지난달 10일 공지에서 "이곳은 브리치포럼스의 계속되는 공식 사이트다. 이 사이트 외에 브리치포럼스라고 주장하는 다른 모든 것은 허니팟(해커를 유인하기 위한 가짜 사이트) 또는 스캠이기 때문에 신중해야 한다"며 "올해 2월 (기존 브리치포럼스의)데이터베이스를 불러오는 데 성공해 몇 가지 새로운 업데이트를 배포한다"고 밝혔다. 업데이트 내용에는 해킹 포럼 사이트의 편의성을 개선한 내용이 담겼다. 실제 브리치포럼스 사이트에는 과거 게시물부터 기존에 운영되던 유저 인터페이스(UI)까지 모두 동일한 형태로 유지되고 있다. 할로우에 따르면 지난해 2월 압수당한 사이트 인프라를 복구하고, 다시 공식적인 해킹 포럼 운영을 공식화한 것으로 보인다. 하지만 브리치포럼스가 수차례 FBI에 검거된 이후 여러 사칭 사이트가 범람했던 만큼, 해당 사이트에 대해서도 신뢰도가 높지 않다는 지적도 있다. 브리치포럼스는 지난 2015년 개설한 '레이드포럼스(RaidForums)'가 전신이다. 레이드포럼스 운영자가 2022년 FBI에 검거되면서 대체할 사이트로 브리치포럼스가 생겨났다. 브리치포럼스는 2023년부터 지난해까지 FBI로부터 3차례 사이트를 압수당하고 도메인을 옮겨 다시 개설하기를 반복했다. 최근 기준으로 2025년 4월 사이트 서버가 다운된 이후 자취를 완전히 감췄다. 이번에 1년 만에 다시 사이트를 열며 활동을 재개했다고 알린 것이다. 안랩에 따르면 브리치포럼스는 수십만 명의 회원이 활동하는 대형 온라인 커뮤니티로, 유출된 데이터베이스가 게시되고 거래되는 플랫폼이자 해킹 기술과 악성코드, 사이버 범죄 노하우가 공유되는 공간이다. 보안 전문가와 법 집행 기관이 주시하는 감시 대상 1순위이기도 하다. 특히 포럼의 재개를 알린 할로우라는 닉네임의 해커는 지난해 6월 FBI로부터 체포된 인물 중 하나다. 앞서 지난해 6월 국제수사기관과 FBI와의 공조 수사로 브리치포럼스 운영자 샤이니헌터스, 인텔브로커, 할로우 등 6명이 체포된 바 있다. 이에, 할로우라는 닉네임을 사용하는 다른 인물일 가능성도 배제할 수 없다. 탈취 데이터 유통된다…2차 피해 위협 커져 가장 활발했던 '정보 암시장'이 다시 활성화함에 따라 탈취 데이터의 재확산 우려도 다시금 부상하는 모양새다. 실제 안랩 ASEC 보고서에 따르면 지난 3월 브리치포럼스에 한국 정부 루트 권한을 판매하겠다는 게시글이 업로드된 바 있다. 브리치포럼스와 같은 불법 해킹 포럼에는 유출된 데이터, 계정정보, 익스플로잇(취약점 공격) 도구 등이 포럼 내 재화인 '크레딧' 또는 암호화폐를 통해 거래된다. 이렇게 거래된 데이터는 추가 공격을 하는 데 악용된다. 탈취한 데이터를 바탕으로 피해를 이미 입은 기업에 추가적인 공격을 가할 수도 있으며, 침투 경로를 파악해 취약점을 찾아내 랜섬웨어 공격을 입히는 것도 가능하다. 일반인의 개인정보가 유통됐다면, 피싱 등 범죄에 교묘하게 활용하면서 범죄 성공 확률을 높이기도 한다. 그러나 브리치포럼스가 여러 차례 국제 수사기관으로부터 검거당한 점, 역으로 브리치포럼스가 해킹을 당해 이용자의 데이터가 유출된 점 등으로 보아 다크웹 마켓 시장에서 신뢰를 잃어 정상적인 운영이 불가능할 가능성도 있다. 앞서 올해 1월 브리치포럼스는 '제임스(James)'라는 이름의 해커에 의해 해킹 당해 사용자 전원 분량(32만3986명)의 데이터베이스가 유출된 바 있다. 이용준 극동대 해킹보안학과 교수는 “FBI는 브리치포럼스를 단순 게시판이나 커뮤니티가 아닌, 계정정보, 개인정보 데이터베이스, 해킹 툴 등을 거래하는 '범죄 플랫폼'으로 특정한 바 있다”며 “피싱, 스미싱 등 2차 사이버사기 악용, 랜섬웨어, 산업 기밀 유출, 잠재적 스파이 활동 기초 정보 제공 등 피해 가능성이 우려된다”고 밝혔다. 이 교수는 이어 “브리치포럼스는 기본적으로 다수의 운영자가 변경을 거듭하며 운영해 왔다”며 “수차례 수사와 운영자 체포 영향으로 이전과 같은 활동적인 불법 거래는 어렵지만 지속적인 운영이 예상된다”고 경고했다. 그는 불법 해킹 포럼의 완전한 검거와 관련해서는 “특정된 운영자를 대상으로 하는 검거와 특정된 IP에 대한 사이트 폐쇄는 가능하지만, 불법 거래 생태계가 이미 성장하고 있어 운영자 가명화, 해외 IP 우회, 사이트 복제 등으로 인해 완전 검거는 어렵다고 예상한다“고 밝혔다. 한편 브리치포럼스가 수차례의 검거 이후 여러 사칭 사이트가 범람했던 만큼, 해당 사이트에 대해서도 신뢰도가 높지 않다는 지적도 제기됐다. 사이버 위협 인텔리전스 전문 기업 S2W 측은 "기존 브리치포럼스가 2025년 4월15일 접속이 중단된 이후로, 동일 이름의 기존 포럼의 백업 데이터베이스를 사용하는 파생 포럼이 다수 등장해, 이들 사이트 간의 진위 여부를 구분하는 것이 사실상 어려운 상황"이라며 "현행 브리치포럼스는 사칭으로 추정되는 유저가 운영 중"이라고 설명했다. 익명을 요구한 보안업계 관계자도 "FBI에 검거됐던 이력이 있는 만큼 현행 브리치포럼스는 FBI와 연계된 상태로 운용되고 있을 가능성도 있다"면서 "현재로서는 브리치포럼스의 활동 재개 여부는 완전히 신뢰하기는 이르다"고 강조했다.
